帆软“0day”?SpringKill:老洞

admin 2024年8月1日10:39:15评论21 views字数 706阅读2分21秒阅读模式

 

此文章由SpringKiller安全研究师傅产出,这位佬是一个能独立开发一款企业级IAST,伸手0day伸脚1day,能手搓操作系统用脚逆向的师傅,还是OWASP的代码贡献者之一。哦,差点忘了,这个师傅能书会画,上厅堂下厨房无所不能,现在是甲方大爹。呆哥建议爱学习的可以找他击剑一下。

SpringKill师傅的Github地址:https://github.com/springkill

看有个帆软0day公告:

帆软“0day”?SpringKill:老洞

帆软“0day”?SpringKill:老洞

帆软“0day”?SpringKill:老洞

看帆软官网:https://help.fanruan.com/finereport/doc-view-4833.html

帆软“0day”?SpringKill:老洞

 

修复方案:

帆软“0day”?SpringKill:老洞

1)参考 限制IP访问工程 方案一禁用老引擎接口

请注意,2024-07-22日,该方案的 url.properties 文件已更新,请重新下载文件并参考文档配置

面向本漏洞的规则是:rule3=/view/ReportServer、rule4=/view/ReportServer/

如不希望禁用远程设计和单点登录相关接口,删除相关rule即可

2)删除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-*.jar(删除sqlite-jdbc-*.jar后无法使用SQLite数据连接)

请在驱动删除后重启工程以确保生效

sdfd

 

看下SpringKill的锐评:

帆软“0day”?SpringKill:老洞

帆软“0day”?SpringKill:老洞

帆软“0day”?SpringKill:老洞

看到这里想起来,确实好几个月前,当时SpringKill就说还有新链可以r。

帆软“0day”?SpringKill:老洞

SpringKill(0day哥)后面手上channel接口还捏着两条链呢...

帆软“0day”?SpringKill:老洞

最后看看牛逼的SpringKill在写什么项目:

帆软“0day”?SpringKill:老洞

帆软“0day”?SpringKill:老洞

 

 

原文始发于微信公众号(阿呆攻防):帆软“0day”?SpringKill:老洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月1日10:39:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   帆软“0day”?SpringKill:老洞https://cn-sec.com/archives/2991974.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息